- - PR -
DCが起動しなくなりネットワークが混乱
| 投稿者 | 投稿内容 | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-11-09 17:39
とある会社のサーバ管理を任されているのですが、昨日DCになっている2000
serverがセーフモードですら立ち上がらなくなりました。 他にNTのサーバー(BDC?)が2台、2000server(DNSサーバ)が1台あるのですが、 NTサーバの管理ツールのサーバマネージャ、ドメインユーザマネージャを起動して も「PDCが見つからないため、....」というエラーの後、画面にユーザ名、コンピュ ータがそれぞれ表示されません。 このような状況で、NTのサーバをPDCに昇格させ、正常にユーザ情報と、サーバ情 報を復元させる方法があるでしょうか? 更に2000のDSNサーバにアクティブ・ディレクトリをインストールしてDCにしようと しましたが最初のログオン時に「このドメインにログオンできません。プライマリドメ インのシステムにコンピュータアカウントがないか、アカウントのパスワードに誤り があります」のメッセージではねられます。 色々調べているのですが任されたばかりなので右も左も分からない状態なのです。 ここしか頼れません。お願いします。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-09 18:34
この現象が発生する前に、何か思い当たることはあります? セキュリティパッチ適用等。。。 また、起動しないというのは、何かエラーメッセージが表示されたりはしないですか? lsass のエラーメッセージが表示されていれば結構事例もあるのですが。。。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-09 18:52
ありがとうございます。
実は復旧にも色々手を尽くして万策尽き果てたという状態なのですが。。。 エラーメッセージは 「lsass.exe - システム エラー : 次のエラーのため、セキュリティ アカウント マネージャの初期化に失敗しました ディレクトリ サービスを開始できません。 エラー状態: 0xc00002e1 [OK] をクリックしてシステムをシャットダウンし、再起動するときにディレクトリ サービスの復元モードを選択してください。詳細な情報についてはイベント ログを参照してください。」 で、色々調べて「Ntds.dit」が正しい場所に無い為移動すれば良いとの情報を得ました。 (この時点ではディレクトリサービスの復元モードで起動していればユーザもログインできる状態でした。) しかしそのファイルは正しい場所にあったので、system32にあったオリジナルの「Ntds.dit」 をコピー(元のNtds.ditは名前を変更して保存)してしまったのです。 この情報もネットで調べたものでした。 その後ユーザーがログインもできない状態になってしまい、もう1台の2000serverすらも 最初の質問に記したようにログインできなくなってしまったのです。 その後諦めて修復インストールを行ったのですが、最終的にはセーフモードでも「ディレクト リ サービスを開始できません。 エラー状態: 0xc00002e1…」のエラーが出て起動しない状態 になってしまった訳です。 NTの2台のサーバにはアカウントの情報がまだ残っていると思われる(98系の端末はログイ ンできる)のですが、何とかこのサーバを新規に構築しなおして、DCにする方法はあるのでしょうか? アカウントを1から作り直してもそうは時間はかからないのでその点は問題無いのですが、現在 のNTドメインとの同期(?)が上手く取れるのかが不安です。 ちなみに今回動かなくなったサーバは導入時の設定ミスでCドライブの容量が非常に少ない状態 になっており、windowsupdateも出来ない状態だったのでいずれ近い内にパテーション切りなお して新規インストールを行う必要がありました。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-09 19:13
すいません。全然お役に立てず。。。
ちなみに、この現象はテスト環境で私も見たことあります。 その時も公開されている方法では解決せずに再インストールした覚えが。。。 NT に関しては、Active Directory に同期する前に切り離しておかないと、正常に元のドメインに戻せないと記憶しております。 現時点での有効な方法は・・・すいません、どなたかフォローを。。。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-09 21:46
NT ServerBDCをPDCに昇格、は、まだ試してないんでしょうか? Windows2000DCが正常動作しない以上、そのBDC以外がドメイン情報を保持してないんですし、 それしか方法が無いはずですけど。 PDC昇格後、レガシクライアントはそのまま普通に使えるようになるはずです。 Windows2000以降のドメインメンバは、以前のActiveDirectoryでKerberos認証を 行ってしまってるため、NT ドメインコントローラでは認証を受けられなくなっちゃってる はずですが、ドメインから一度外れて、再度ドメイン参加させれば問題ないです。 # テスト環境でしか実績ありませんけど。 あと、ドメインメンバに関しては、ドメインから外れる際、必ずローカルの管理者ユーザで ログオンできることを確認しましょう それでうまくいったら、早急にNTのBDCを追加しましょう。 その後落ち着いたら改めてPDCを2000にアップグレードしてActiveDirectoryの構築しなおしです。 ところで、なんでNT BDCを昇格しなかったんでしょう? PDCをアップグレードしたあと、早い段階ですべてのBDCをWindows2000へアップグレード しておけば、何事も起きずにドメイン運用を継続できたのに。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-09 22:54
こんばんわ.
NT ドメインは ActiveDirectory と違って,PDC という親分が必須なわけです. なので,PDC がない状態では「現状維持」しかできません.
なので,ドメインコントローラを追加するような 「大きな構成変更」は当然出来ません. Windows 2000 Server には ActiveDirectory を構成されているようですが, それ以外の WindowsNT なドメインコントローラにとっては 単なる PDC にしか見えていないわけで,それがいわゆる「混在モード」です. この辺が分かりやすいかも. http://www.jyose.pref.okayama.jp/knowledge/lanqa/winnt/sec2/1-03.html なので,まず最初の対応としては「1つの BDC を PDC に昇格する」ことで, そのドメインに PDC が存在するようにしてあげることです. 手順はこの辺をご参照ください. http://www.fmmc.or.jp/~fm/nwmg/Wnt40Svr/maintenance/bdc12.html で,PDC が存在する状態になったら, 問題となった不具合のある Server に WindowsNT を導入しなおして, 前述のような手順で「PDC を移し変え」て, 順次 PDC -> BDC と Windows 2000 Server に upgrade して, ついでに NT Domain も ActiveDirectory に upgrade して, client 側の DNS も設定して, さらに ActiveDirectory を「混在モード」->「ネイティブモード」へ 変更してしまえば PDC/BDC の格差が無くなり, 障害の際の運用も楽になると思います. DNS サービスを複数の Domain Controller で構成するのをお忘れなく. みたいに普通に書き込めないものですかね... | ||||||||||||||||||||||||
|
投稿日時: 2004-11-11 10:30
皆さん、非常に分かりやすい説明ありがとうございます。
あれから色々進展したので現状を説明します。 まず、2台あったBDCのうち1台をPDCに昇格させる事ができました。 で、起動しなくなったサーバにBDCとしてNTを新規にインストールしました。 つまり サーバA(NT・PDC) サーバB(NT・BDC) サーバC(2000・DNS) サーバD(今回起動しなくなったもの・現在NT・BDC) という状態です。 これを最終的には サーバA(NT・BDC) サーバB(NT・BDC) サーバC(2000) サーバD(2000・PDC・DNS) という構成にしたいのです。 特殊な社内LANアプリケーションを使っている関係上、NTサーバは残しておかなければなり ません。 つまり混在モードになる訳です。 ここでサーバDを2000にアップグレードしてアクティブディレクトリを導入してPDCにし たいのです。 手順として サーバDをPDCに昇格させ、その後アップグレードするという認識なのですがこの手順で問題ないでしょうか? サーバDをPDCに昇格させた場合、サーバAはBDCに降格させないといけないのでしょうか? それともサーバDをBDCのまま2000にアップグレードして、PDCに昇格なんてことできるのでしょうか? 最終的に上記の様になれば問題無いのですが… 後、DNSも移行したいのですがサーバCのDNSをサーバDに以降する場合はサーバDのアク ティブ・ディレクトリを導入する時に全く同じDNSの設定を(サーバDに対して)行えば良い のでしょうか? その後サーバCのDNSを削除するにはどうすれば良いのでしょうか? (そもそも削除する必要が無い?) 他に作業中に「この時はサーバ●をネットワークから外しておかなければならない」とか重要な 注意点を教えて頂ければ助かります。 分かり難い説明で申し訳無いですが宜しくお願いします。 | ||||||||||||||||||||||||
|
投稿日時: 2004-11-11 10:55
これは了解しました。
これは間違いです。 NT ServerはActiveDirectoryネイティブモードのメンバサーバになれますから、 混在モードである必要はありません。 混在モードを使う理由は唯一、そのドメインにNT BDCが存在するか否かです。 そのNT ServerがNT BDCを兼ねていて、NT BDCを残さざるを得ないなら、 混在モードであり続ける必要があるんですが、できればBDCじゃないNT Serverのみを 残す状態に構成を変更し、DCはWindows2000以降のみ、にしてしまうのが望ましいです。 # そもそも、NT PDC/BDCに、移動が困難なサービスを乗せるべきじゃありません。 # 再インストールかアップグレード以外の手段で、DCの役割を外せないんですから。
それで合ってます。 やってみればわかりますが、BDC昇格時、既存のPDCと通信可能な状態であれば、 既存のPDCはBDCに自動的に降格されます。
それでは望む構成にすることはできません。 NTドメインからActiveDirectoryへのアップグレードでは、PDCのOSアップグレードが必須作業です。
ADへの移行開始から完了までの間、どのDNSを利用するのかを考えましょう。 今回の構成の場合はサーバCを利用するのが自然でしょうから、 AD関連のDNSゾーンに対して、動的更新が有効な状態であるか確認して作業しましょう。 で、AD移行が正常に行われた後(PDCアップグレード完了後)に、サーバDに DNSを構築しましょう。現時点ではサーバAがプライマリDNSになってるはずですから、 ひとまずはセカンダリDNSとして構築し、ゾーン情報が複製されたら役割を逆転させて、 サーバDがプライマリDNS(もしくはAD統合ゾーン)になってる状態になれば、 サーバCのDNSはなくなっても問題ない状態になります。 ただ、冗長化の観点から考えれば、両方のDNSが有効な状態をキープしておくのが無難でしょう。
PDCをアップグレードする際、サーバAかサーバB、またはそれ以外のBDCのいずれかを、 ネットワークから外しておきましょう。 あとは、Microsoftや@ITに、AD移行手順についての情報はありますから、 それをしっかり読みましょう。 # ていうか、少なくとも御社では一度2000 ADへアップグレード経験があるんですよね? | ||||||||||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。